Pred kratkim komentirali smo neuspeh Log4J in v tej publikaciji želimo deliti informacije, da raziskovalcevod takrat trdijo, da so hekerji, vključno s skupinami, ki jih podpira kitajska država, pa tudi Rusija, izvedli več kot 840.000 napadov proti podjetjem po vsem svetu od prejšnjega petka zaradi te ranljivosti.
Skupina za kibernetsko varnost Check Point je povedal o povezanih napadih z ranljivostjo, ki so jo pospešili v 72 urah od petka, in včasih so njihovi preiskovalci videli več kot 100 napadov na minuto.
Urednik je opazil tudi veliko kreativnost pri prilagajanju napada. Včasih se v manj kot 60 urah pojavi več kot 24 novih različic, ki uvajajo nove tehnike zakrivanja ali kodiranja.
Po besedah Charlesa Carmakala, glavnega tehnološkega direktorja kibernetskega podjetja Mandiant, so vključeni "napadalci kitajske vlade".
Pomanjkljivost Log4J omogoča napadalcem, da prevzamejo daljinski nadzor nad računalniki, ki izvajajo aplikacije Java.
Jen vzhodno, direktor Ameriške agencije za kibernetsko in infrastrukturno varnost (CISA), je dejal vodilnim v industriji, da Ranljivost je bila "ena najresnejših, kar sem jih videl v svoji celotni karieri, če ne celo najresnejša", po poročanju ameriških medijev. Po njegovih besedah bo verjetno prizadetih na stotine milijonov naprav.
Check Point je dejal, da v mnogih primerih hekerji prevzamejo računalnike in jih uporabijo za rudarjenje kriptovalut ali postanejo del botnetov z obsežnimi računalniškimi omrežji, ki jih je mogoče uporabiti za preobremenitev prometa na spletnem mestu, pošiljanje neželene pošte ali za druge nezakonite namene.
Za Kaspersky večina napadov prihaja iz Rusije.
CISA in Nacionalni center za kibernetsko varnost Združenega kraljestva sta izdala opozorila, v katerih pozivata organizacije, naj posodobijo v zvezi z ranljivostjo Log4J, saj strokovnjaki poskušajo oceniti posledice.
Amazon, Apple, IBM, Microsoft in Cisco so med tistimi, ki hitijo z uvedbo rešitev, vendar nobena resna kršitev ni bila javno prijavljena, dokler
Ranljivost je zadnja, ki prizadene korporativna omrežja, potem ko so se v zadnjem letu pojavile ranljivosti v programski opremi za običajno uporabo Microsofta in računalniškega podjetja SolarWinds. Obe ranljivosti naj bi sprva izkoristile državno podprte vohunske skupine iz Kitajske oziroma Rusije.
Mandiantov Carmakal je dejal, da kitajski akterji, ki jih podpira država, prav tako poskušajo izkoristiti napako Log4J, vendar ni želel posredovati več podrobnosti. Raziskovalci SentinelOne so medijem povedali tudi, da so opazili, kako kitajski hekerji izkoriščajo ranljivost.
CERT-FR priporoča temeljito analizo omrežnih dnevnikov. Naslednje razloge je mogoče uporabiti za prepoznavanje poskusa izkoriščanja te ranljivosti, ko se uporablja v URL-jih ali določenih glavah HTTP kot uporabniški agent
Zelo priporočljivo je, da čim prej uporabite log2.15.0j različico 4. Vendar pa je v primeru težav pri prehodu na to različico mogoče začasno uporabiti naslednje rešitve:
Za aplikacije, ki uporabljajo knjižnico log2.7.0j različice 4 in novejše, je mogoče zaščititi pred kakršnimi koli napadi tako, da spremenite obliko dogodkov, ki bodo zabeleženi s sintakso% m {nolookups} za podatke, ki jih uporabnik zagotovi. .
Po podatkih Check Pointa so skoraj polovico vseh napadov izvedli znani kibernetski napadalci. Te so vključevale skupine, ki uporabljajo Tsunami in Mirai, zlonamerno programsko opremo, ki pretvori naprave v botnete, ali omrežja, ki se uporabljajo za zagon daljinsko nadzorovanih napadov, kot so napadi na zavrnitev storitve. Vključeval je tudi skupine, ki uporabljajo XMRig, programsko opremo, ki izkorišča digitalno valuto Monero.
"S to ranljivostjo napadalci pridobijo skoraj neomejeno moč: lahko ekstrahirajo zaupne podatke, naložijo datoteke na strežnik, izbrišejo podatke, namestijo izsiljevalsko programsko opremo ali preklopijo na druge strežnike," je povedal Nicholas Sciberras, glavni inženir Acunetix, skener ranljivosti. Napad je bilo "presenetljivo enostavno" izvesti, je dejal in dodal, da bo pomanjkljivost "izkoriščena v naslednjih nekaj mesecih".